'Een op vijf slachtoffers politie-ransomware betaalt'
Eén op de vijf computergebruikers die slachtoffer wordt van het inmiddels beruchte politievirus, dat een systeem gijzelt, betaalt in de hoop de computer weer te kunnen gebruiken, zegt de Politie. Er zou een sterke toename in het aantal besmettingen te zien zijn.
Al sinds minstens vorig jaar december maakt het zogenoemde politievirus slachtoffers. Deze malware kijkt op basis van het ip-adres uit welk land een gebruiker komt, waarna de pc vergendeld wordt en het slachtoffer een melding krijgt die afkomstig lijkt van het nationale politiekorps. De gebruiker zou zijn systeem volgens de melding voor illegale activiteiten, zoals het downloaden van kinderporno, gebruikt hebben.
Alleen tegen betaling van een boete van bijvoorbeeld 100 euro via de Britse betalingsdienst Ukash zouden de bestanden weer toegankelijk gemaakt worden. Ook na betaling blijft de computer echter op slot. "Eén op de vijf slachtoffers trapt er in en betaalt,” zegt Pim Takkenberg van het Team High Tech Crime van het Korps Landelijke Politiediensten tegen Zembla, dat aandacht aan de malware geeft. Er zijn ook varianten van de malware in omloop, het Buma Stemra-virus genoemd, waarbij de melding weergeeft dat de gebruiker zich schuldig heeft gemaakt aan illegaal downloaden. Volgens Symantec gaat het om bendes uit Rusland en Oekraïne, die er maandelijks een half miljoen euro mee verdienen.
Zembla heeft meerdere computerreparatiebedrijven gesproken die claimen dat er sprake is van een flinke toename. "Een paar maanden geleden ging het om incidenten. Nu krijgen we dagelijks geïnfecteerde machines binnen", zegt een bedrijf terwijl een ander claimt dertig besmettingen per week te moeten verhelpen.
Reacties (235)
Zo een kreeg ik er ook. Goed Nederlands in de text maar ten eerste sloeg de beschuldiging nergens op en ten tweede zou de politie nooit zo werken. Kreeg de software er niet af zonder windows opnieuw te installeren helaas.
http://windows.microsoft....-windows-defender-offline
Hiermee zou het moeten lukken
Scannen vanaf een usb stick zonder windows op te starten.
Hiermee zou het moeten lukken
Scannen vanaf een usb stick zonder windows op te starten.
•We recommend that you download Windows Defender Offline and create the CD, DVD, or USB flash drive on a PC that isn't infected with malware—the malware can interfere with the media creation.
Als je dit dus op een besmet pc doet kan het alsnog fout gaan.
Waarom niet een online malware check ipv offline?
Als je dit dus op een besmet pc doet kan het alsnog fout gaan.
Waarom niet een online malware check ipv offline?
[Reactie gewijzigd door Mandrake466 op vrijdag 23 november 2012 13:10]
Omdat een online check niet meer werkt op een gelocked systeem 
Een dergelijke cd / dvd maak je natuurlijk nooit op een systeem waarvan je weet dat het geinfecteerd is.. Dat lijkt mij een behoorlijke open deur.
Een dergelijke cd / dvd maak je natuurlijk nooit op een systeem waarvan je weet dat het geinfecteerd is.. Dat lijkt mij een behoorlijke open deur.
Mijn zus haar netbookje heeft de 'FCCU' variant beet.
Als ik wat creatief ben met ctrl-alt-del en alle door mij niet gekende processen kill in de taskmanager is het systeem weer 'te gebruiken'.
Alhoewel ik er niet veel tijd aan besteed heb, heb hem gewoon afgesloten erna, ga het ding toch formatteren.
Wel een slordigheidje van de virusmakers.
Onder het FCCU logo staat federal computer crime unit, met daaronder een regel uitleg over FCCU in het Nederlands, de rest van de tekst, met aanklacht enz, is in het Frans.
Als ze het echt geloofwaardig wilden maken hadden ze het tweeltalig opgesteld in België.
Ook wel dom dat de beschuldiging om kinderporno gaat. Zus is gescheiden, met 2 dochters, überhaupt niemand in huis die naar gewone porno surft dus hoe gaan ze dan kinderporno op de pc krijgen?
En daarvoor zou de politie geen 100¤ boete vragen maar je gelijk in de bak steken...
Zelfs mijn digibete zus en nichtje hadden dus direct door dat dit om een virus ging.
Waarschijnlijk daardoor dat het aantal mensen in Nederland die er in trappen hoger is.
edit:
Ongewenst? Waarom, als ik dat even weten mag?
Als ik wat creatief ben met ctrl-alt-del en alle door mij niet gekende processen kill in de taskmanager is het systeem weer 'te gebruiken'.
Alhoewel ik er niet veel tijd aan besteed heb, heb hem gewoon afgesloten erna, ga het ding toch formatteren.
Wel een slordigheidje van de virusmakers.
Onder het FCCU logo staat federal computer crime unit, met daaronder een regel uitleg over FCCU in het Nederlands, de rest van de tekst, met aanklacht enz, is in het Frans.
Als ze het echt geloofwaardig wilden maken hadden ze het tweeltalig opgesteld in België.
Ook wel dom dat de beschuldiging om kinderporno gaat. Zus is gescheiden, met 2 dochters, überhaupt niemand in huis die naar gewone porno surft dus hoe gaan ze dan kinderporno op de pc krijgen?
En daarvoor zou de politie geen 100¤ boete vragen maar je gelijk in de bak steken...
Zelfs mijn digibete zus en nichtje hadden dus direct door dat dit om een virus ging.
Waarschijnlijk daardoor dat het aantal mensen in Nederland die er in trappen hoger is.
edit:
Ongewenst? Waarom, als ik dat even weten mag?
[Reactie gewijzigd door SaiKoTiK op vrijdag 23 november 2012 15:00]
Ik dacht er ineens weer aan; dat is omdat ze zichzelf in de vingers snijden wanneer ze een goed bericht opstellen:
Deze personen hebben profijt van mensen die niet al te helder zijn, en snel in een zielig bericht trappen. Als ze goede berichten schrijven bereiken ze ook mensen die wel weten hoe ze dit moeten aanpakken, en word het simpelweg het zoveelste bekende mailtje/virus. It's a circle.
Ik herinner me een boek hierover, maar volgens mij is deze onderstaande PDF soortgelijk.
Bron:
http://research.microsoft.com/pubs/167719/whyfromnigeria.pdf
Deze personen hebben profijt van mensen die niet al te helder zijn, en snel in een zielig bericht trappen. Als ze goede berichten schrijven bereiken ze ook mensen die wel weten hoe ze dit moeten aanpakken, en word het simpelweg het zoveelste bekende mailtje/virus. It's a circle.
Ik herinner me een boek hierover, maar volgens mij is deze onderstaande PDF soortgelijk.
Bron:
http://research.microsoft.com/pubs/167719/whyfromnigeria.pdf
Ik moet wekelijks meerdere van zulke besmettingen herstellen...
de oorzaak is simpel; outdated JAVA...
wie z'n java dus niet update en op een besmette site komt (of op pornosites komt die het virus propageren; want daar komt het vaak voor) kan er op rekenen dat zijn pc besmet zal worden vroeg of laat...
een antivirus helpt niet altijd; aangezien het niet echt als virus herkend wordt door de meeste antivirussoftwares... het is namelijk een géldige en gesigneerde microsoft dll als je de eigenschappen van het bestand gaat bekijken die gewoon mee wordt ingeladen met windows...
juist omdat hij niets 'malicious' doet wordt hij vaak niet herkend (hij wist niets, wijzigt ook niets aan je pc... gaat enkel full screen en schakelt tijdelijk een aantal functies uit, iets wat een game even goed zou kunnen doen)
via safe mode kan je hem perfect verwijderen...
Best ook wel scannen op virussen, want in sommige gevallen is hij binnengekomen via een trojan ipv rechtstreeks, en dan is het zaak om ook die trojan te verwijderen.... Vaak is dan je antivirus al gedeactiveerd; gebruik dan een usb-stick of een boot-cd om te scannen.. (avg, kaspersky, ... gratis te downloaden)
de oorzaak is simpel; outdated JAVA...
wie z'n java dus niet update en op een besmette site komt (of op pornosites komt die het virus propageren; want daar komt het vaak voor) kan er op rekenen dat zijn pc besmet zal worden vroeg of laat...
een antivirus helpt niet altijd; aangezien het niet echt als virus herkend wordt door de meeste antivirussoftwares... het is namelijk een géldige en gesigneerde microsoft dll als je de eigenschappen van het bestand gaat bekijken die gewoon mee wordt ingeladen met windows...
juist omdat hij niets 'malicious' doet wordt hij vaak niet herkend (hij wist niets, wijzigt ook niets aan je pc... gaat enkel full screen en schakelt tijdelijk een aantal functies uit, iets wat een game even goed zou kunnen doen)
via safe mode kan je hem perfect verwijderen...
Best ook wel scannen op virussen, want in sommige gevallen is hij binnengekomen via een trojan ipv rechtstreeks, en dan is het zaak om ook die trojan te verwijderen.... Vaak is dan je antivirus al gedeactiveerd; gebruik dan een usb-stick of een boot-cd om te scannen.. (avg, kaspersky, ... gratis te downloaden)
Dit gaat je dus nooit lukken.
Ik ben een half jaar geleden hiermee bezig geweest, en het zit dieper dan je denkt.
Lokale policies worden aangepast zodat een taskmanager niet gestart kan worden, bureaublad achtergrond kan niet meer worden aangepast.
Dit lost een malware scanner niet op, die haalt slechts de geinfecteerde bestanden weg.
En blijf je dus zitten met een cleane pc, waar de helft nog maar van werkt.
Ga dat maar uitzoeken met de registry editor, en gpedit.msc ...
Overigens heb ik zelf geprobeerd om via Hirens Bootcd een alternate boot te starten en daaruit te cleanen, maar dan krijg je dus hetzelfde zoals ik al had beschreven.
Opstarten in Safe Mode heeft geen zin, deze meuk zorgt dat het zich nestelt in de explorer.
Enige ECHTE optie is gewoon een reinstall, dan weet je zeker dat er niets achter is gebleven !
Ik ben een half jaar geleden hiermee bezig geweest, en het zit dieper dan je denkt.
Lokale policies worden aangepast zodat een taskmanager niet gestart kan worden, bureaublad achtergrond kan niet meer worden aangepast.
Dit lost een malware scanner niet op, die haalt slechts de geinfecteerde bestanden weg.
En blijf je dus zitten met een cleane pc, waar de helft nog maar van werkt.
Ga dat maar uitzoeken met de registry editor, en gpedit.msc ...
Overigens heb ik zelf geprobeerd om via Hirens Bootcd een alternate boot te starten en daaruit te cleanen, maar dan krijg je dus hetzelfde zoals ik al had beschreven.
Opstarten in Safe Mode heeft geen zin, deze meuk zorgt dat het zich nestelt in de explorer.
Enige ECHTE optie is gewoon een reinstall, dan weet je zeker dat er niets achter is gebleven !
het politie ransomware virus doet echt niets meer dan wat ik omschreven heb hoor ...
het aanpassen van registry en taskmgr echt onmogelijk maken (melding "taakbeheer is uitgeschakeld door de administrator / u moet administrator rechten hebben om taakbeheer uit te voeren) gebeurt niet door de ransomware maar daar is een ander virus schuldig aan...
dan heb je dus al meerdere virussen op je pc staan..
nu hoef je daarvoor geen gpedit.msc te gebruiken (in windows xp home zit dat trouwens niet in; enkel in de pro versie heb je dat want da's iets voor policies te beheren). Je kan je taskmgr ook terughalen door een aantal registry keys te wissen die het virus heeft toegevoegd.
ff googlen zal je zeker helpen. Ik heb laatst zelf nog een pc van een klant gehad waar al enkele jaren norton antivirus op draaide en die nu ook ineens het ransom virus had... toen ik 'm scande met m'n avg stick bleken er meer dan 80 virussen op te staan... omdat het al een oudere XP machine was (vééél werk om te herinstalleren / updates / software ...) besliste ik om toch te gaan voor de removal...
hebben al de virussen verwijderd; dan in windows via safe mode het gijzelvirus eruit gehaald (was dus verstopt in een geldige microsoft dll in de system32 folder met een random filenaam). en daarnaa MBAM gedraaid om nog eens een hoopje virussen / rootkits te verwijderen (avg is ook niet feilloos).
Daarna de problemen aangepakt, want hier was ook dat probleem met taakbeheer dat foutmeldingen gaf.. ondertussen kon ik wel procexp heel de tijd gebruiken... maar via een klein zoekopdrachtje had ik meteen gevonden dat er dus een aantal registry entries gewist konden worden... en ja hoor; de pc werkte weer als een zonnetje... nadien nog eens een laatste keer MBAM gedraaid terwijl ik ingelogd was op de accounts van de pc en outlook, IE, FF en WLMail had openstaan om zeker te zijn qua scripts enzo... kwam er nog eentje kijken bij outlook... die ook verwijderd en dan was de pc volledig clean...
1 uurtje werk; 103 virussen in de vuilbak; Norton ook verwijderd en een deftig AV erop gezet.... klant zeer blij
het aanpassen van registry en taskmgr echt onmogelijk maken (melding "taakbeheer is uitgeschakeld door de administrator / u moet administrator rechten hebben om taakbeheer uit te voeren) gebeurt niet door de ransomware maar daar is een ander virus schuldig aan...
dan heb je dus al meerdere virussen op je pc staan..
nu hoef je daarvoor geen gpedit.msc te gebruiken (in windows xp home zit dat trouwens niet in; enkel in de pro versie heb je dat want da's iets voor policies te beheren). Je kan je taskmgr ook terughalen door een aantal registry keys te wissen die het virus heeft toegevoegd.
ff googlen zal je zeker helpen. Ik heb laatst zelf nog een pc van een klant gehad waar al enkele jaren norton antivirus op draaide en die nu ook ineens het ransom virus had... toen ik 'm scande met m'n avg stick bleken er meer dan 80 virussen op te staan... omdat het al een oudere XP machine was (vééél werk om te herinstalleren / updates / software ...) besliste ik om toch te gaan voor de removal...
hebben al de virussen verwijderd; dan in windows via safe mode het gijzelvirus eruit gehaald (was dus verstopt in een geldige microsoft dll in de system32 folder met een random filenaam). en daarnaa MBAM gedraaid om nog eens een hoopje virussen / rootkits te verwijderen (avg is ook niet feilloos).
Daarna de problemen aangepakt, want hier was ook dat probleem met taakbeheer dat foutmeldingen gaf.. ondertussen kon ik wel procexp heel de tijd gebruiken... maar via een klein zoekopdrachtje had ik meteen gevonden dat er dus een aantal registry entries gewist konden worden... en ja hoor; de pc werkte weer als een zonnetje... nadien nog eens een laatste keer MBAM gedraaid terwijl ik ingelogd was op de accounts van de pc en outlook, IE, FF en WLMail had openstaan om zeker te zijn qua scripts enzo... kwam er nog eentje kijken bij outlook... die ook verwijderd en dan was de pc volledig clean...
1 uurtje werk; 103 virussen in de vuilbak; Norton ook verwijderd en een deftig AV erop gezet.... klant zeer blij
Ik heb dit virus laatst bij een vriend verwijderd.
Op deze computer had ik wel Malwarebytes geinstaleerd.
In de veilige modus opstarten en verwijderen ging niet.
Computer opnieuw opgestart, en voor dat het z.g. politescherm actief wordt, dit duurt even, constant met de muis op het icoon van Malwarebytes blijven klikken tot je er gek van wordt.
Als de computer nu verder doorstart zal Malwarebytes als eerste verschijnen.
Scannen en het virus verwijderen.
Daarna updaten en opnieuw scannen.
Laat ook andere progjes even rond kijken op resten zoals Super AS en MS Essentials.
Het virus was hierna definitief verdwenen, en is ook nooit meer terug gekomen.
Op deze computer had ik wel Malwarebytes geinstaleerd.
In de veilige modus opstarten en verwijderen ging niet.
Computer opnieuw opgestart, en voor dat het z.g. politescherm actief wordt, dit duurt even, constant met de muis op het icoon van Malwarebytes blijven klikken tot je er gek van wordt.
Als de computer nu verder doorstart zal Malwarebytes als eerste verschijnen.
Scannen en het virus verwijderen.
Daarna updaten en opnieuw scannen.
Laat ook andere progjes even rond kijken op resten zoals Super AS en MS Essentials.
Het virus was hierna definitief verdwenen, en is ook nooit meer terug gekomen.
Ah, ik vroeg me al af hoe zo'n ding je buiten windows zou kunnen sluiten. Ik dacht dat je het gewoon kunt killen met de task manager en zo niet in een veilige boot of gewoon de hdd unpluggen, in een andere pc doen (geen bestanden draaien) en dan scannen.
De versie die ik heb meegemaakt zorgt ervoor dat taakbeheer (Taskmanager) ook niet meer werkt. Zodra je IETS met de pc deed, ging de poc op slot
Verhelpen doe je die door in veilige modus op te starten en het bestandje te verwijderen, meeste versies zijn dan eigenlijk al uit, maar kunnen naast de executable ook nog register instellingen hebben
vaak staat de .exe in de temp map van je browser of kopieert tie zich richting /windows/system32/
Verhelpen doe je die door in veilige modus op te starten en het bestandje te verwijderen, meeste versies zijn dan eigenlijk al uit, maar kunnen naast de executable ook nog register instellingen hebben
vaak staat de .exe in de temp map van je browser of kopieert tie zich richting /windows/system32/
Gewoon internet afsluiten en dan start het virus niet meer op 
heb het zelf ook meegemaakt. dan een systeemherstel doen met windows systeemherstel en probleem opgelost gewoon geen internet exploder meer gebruikten
heb het zelf ook meegemaakt. dan een systeemherstel doen met windows systeemherstel en probleem opgelost gewoon geen internet exploder meer gebruikten Hoezo geen internet explorer meer gebruiken of je internet explorer, firefox (firefox based als palemoon e.d.), safari, opera of chrome gebruikt maakt niet uit. Je loopt deze dingen op door plugins te draaien als java, outdated pdf, outdated flash.
Firefox (en dergelijken) kan dit voorkomen worden door NoScript.
Internet Explorer zouden mensen er sinds 9.0 goed aan doen om ActiveX Filtering aan te zetten waardoor dit ook niet meer gebeurt.
Alleen mensen zonder verstand van computers zeggen ja gebruik maar een andere browser dat lost het probleem op, kijk naar wat het probleem veroorzaakt en schakel dat uit of gebruik het niet aka plugins zijn het probleem niet de browser.
Firefox (en dergelijken) kan dit voorkomen worden door NoScript.
Internet Explorer zouden mensen er sinds 9.0 goed aan doen om ActiveX Filtering aan te zetten waardoor dit ook niet meer gebeurt.
Alleen mensen zonder verstand van computers zeggen ja gebruik maar een andere browser dat lost het probleem op, kijk naar wat het probleem veroorzaakt en schakel dat uit of gebruik het niet aka plugins zijn het probleem niet de browser.
[Reactie gewijzigd door Starke op vrijdag 23 november 2012 21:12]
Welnu, ondanks dat het wisselen van browser niet een oplossing voor alles is, is het toch zeker wel aan te raden, zo updated chrome je flash automatisch en java wordt uitgeschakeld indien er een nieuwe versie is en dan moet je java handmatig aanzetten per pagina (of gewoon updaten ofc.).
Ook updated chrome zichzelf automatisch wat ook weer lekken scheelt; bij pc's van eindgebruikers wil ik zoveel mogelijk automatisch laten updaten want de gebruikers vinden het zelf doen eng of drukken altijd op annuleren indien ze niet weten wat het doet.
Het is het totaalpakket, maar de keuze voor een browser doet er wel degelijk toe!
Ook updated chrome zichzelf automatisch wat ook weer lekken scheelt; bij pc's van eindgebruikers wil ik zoveel mogelijk automatisch laten updaten want de gebruikers vinden het zelf doen eng of drukken altijd op annuleren indien ze niet weten wat het doet.
Het is het totaalpakket, maar de keuze voor een browser doet er wel degelijk toe!
Dit heb ik idd ook gemerkt. Zo snel als er geen verbinding was startte de pc gewoon door.
Je kan het niet vanop een besmette pc doen, want je geraakt helemaal niet voorbij dat 'politie-scherm'
Bijgevolg kan je dus ook niet online laten scannen
Gewoon vanop een andere pc een stickje maken met een scanner erop.
Hoewel je hem ook manueel kan verwijderen, heb ik al meerdere keren gedaan.
Meestal staat er gewoon een vreemd genaamd bestandje in 1 van de startup-locaties van Windows (startmenu, registry, ...)
Bij sommige varianten kan je gewoon opstarten in Safe Mode.
Lukt dat niet, dan kies je voor 'Opstarten met command-prompt' en start je zo Explorer.exe of regedit.exe
Als je die files weghaald, kan je gewoon normaal opstarten en dan een scan laten doen om de restjes weg te halen
Bijgevolg kan je dus ook niet online laten scannen
Gewoon vanop een andere pc een stickje maken met een scanner erop.
Hoewel je hem ook manueel kan verwijderen, heb ik al meerdere keren gedaan.
Meestal staat er gewoon een vreemd genaamd bestandje in 1 van de startup-locaties van Windows (startmenu, registry, ...)
Bij sommige varianten kan je gewoon opstarten in Safe Mode.
Lukt dat niet, dan kies je voor 'Opstarten met command-prompt' en start je zo Explorer.exe of regedit.exe
Als je die files weghaald, kan je gewoon normaal opstarten en dan een scan laten doen om de restjes weg te halen
Kom je ook niet voorbij de melding als je Windows minimaal opstart zonder iets te laden van drivers of wat dan ook? Zoals bijvoorbeeld veilige mode.
Maar goed een besmet systeem is nooit meer te vertrouwen hoeveel scans je ook uitvoert, al gooi je er elke virus scanner er overheen die er bestaan is je systeem nog steeds niet te vertrouwen en kan je NIET met 100% zekerheid stellen dat je pc schoon is van troep. Scanners vinden nooit alles en lopen altijd achter de feiten aan, is schijnveiligheid!
Enige oplossing is alles eraf, en bootsector overschrijven en opnieuw indelen, geheugen wissel door pc uit te zetten, en dan weer opnieuw beginnen met uiteraard legale software want illegale software zit vol met troep, is niet te vertrouwen.
Maar goed een besmet systeem is nooit meer te vertrouwen hoeveel scans je ook uitvoert, al gooi je er elke virus scanner er overheen die er bestaan is je systeem nog steeds niet te vertrouwen en kan je NIET met 100% zekerheid stellen dat je pc schoon is van troep. Scanners vinden nooit alles en lopen altijd achter de feiten aan, is schijnveiligheid!
Enige oplossing is alles eraf, en bootsector overschrijven en opnieuw indelen, geheugen wissel door pc uit te zetten, en dan weer opnieuw beginnen met uiteraard legale software want illegale software zit vol met troep, is niet te vertrouwen.
Omgekeerd is het dan ook zo dat je nooit met 100% kan stellen dat een pc die schijnbaar niet geïnfecteerd is daadwerkelijk ook schoon is. Wie zegt dat de virusscanner die je gebruikt wel die ene drive-by-download heeft afgevangen?
Nope, de malware start vrolijk mee in safe mode. Heb een paar maanden geleden een PC gehad met dergelijke malware, voordat er (dedicated) tooltjes waren om het te verwijderen. Het is wel gelukt met de Kaspersky livecd.
Helaas wilde de eigenaar niet dat ik het OS opnieuw installeerde.. En om het nog iets erger te maken: de eigenaar is een leraar op een basisschool, en hij deelt en neemt huiswerk in via zijn eigen USB stick die dan de PC's in de klas rondgaat. En alsof dat nog niet erg genoeg was stonden automatische updates uit, en stond er een stokoude versie van Java en flash op dat ding..
Helaas wilde de eigenaar niet dat ik het OS opnieuw installeerde.. En om het nog iets erger te maken: de eigenaar is een leraar op een basisschool, en hij deelt en neemt huiswerk in via zijn eigen USB stick die dan de PC's in de klas rondgaat. En alsof dat nog niet erg genoeg was stonden automatische updates uit, en stond er een stokoude versie van Java en flash op dat ding..
Je had je punt alleen al duidelijk gemaakt met 'leraar op basisschool' hoor
Want?
Dat ben ik ook en update wel gewoon mijn zooi, gebruik Opera en boot Windows 7 ook met een handmatige configuratie.
En ja, ik houd msconfig- ook in de gaten.
Dat ben ik ook en update wel gewoon mijn zooi, gebruik Opera en boot Windows 7 ook met een handmatige configuratie.
En ja, ik houd msconfig- ook in de gaten.
Ik neem aan dat je hem de hoofdprijs berekend hebt en uiteraard de volgende keer, als je uberhaupt al op komt dagen? Anders heeft ie nog niks geleerd.
hier in het dorp wordt er grof op mee gelift; diverse 'ict bedrijven' bieden het verwijderen van die haijjack aan voor 50-75euro. altijd nog 25euro geodkoper dan betalen. en geloof me het is druk!
Een paar maanden geleden hoorde ik iemand zeggen dat de reparatie haar 225 euro had gekost, ze konden het niet oplossen dus werd de windows opnieuw geinstalleerd 
Hoezo in de maling genomen, van drie kanten worden sommige mensen geplukt; verkoop, reparatie en misbruik.
Ik heb het enkele maanden geleden ook bij weer iemand anders weggehaald, via een ander profiel op dezelfde installatie waar ik nog wel in kon. Op die manier was het een kleine moeite. Overigens kon ik ook in het besmette profiel nog iets doen omdat de PC zo traag startte dat ik via taakbeheer het proces kon killen voordat het kennelijk daadwerkelijk fullscreen werd
Proces ms.exe ging het om. Na verwijdering en opschoning geen klachten meer gehoord gelukkig, volgens mij was het Vista SP1 nog, dus die uiteraard volledig laten updaten.
Hoezo in de maling genomen, van drie kanten worden sommige mensen geplukt; verkoop, reparatie en misbruik. Ik heb het enkele maanden geleden ook bij weer iemand anders weggehaald, via een ander profiel op dezelfde installatie waar ik nog wel in kon. Op die manier was het een kleine moeite. Overigens kon ik ook in het besmette profiel nog iets doen omdat de PC zo traag startte dat ik via taakbeheer het proces kon killen voordat het kennelijk daadwerkelijk fullscreen werd
Proces ms.exe ging het om. Na verwijdering en opschoning geen klachten meer gehoord gelukkig, volgens mij was het Vista SP1 nog, dus die uiteraard volledig laten updaten.Er zijn meerdere versies van het virus op pad op het web, ik verwijder ze dagelijks bij mij op de zaak (Computerwinkel).
De een is met een KAV bootcd uit te schakelen, de ander door gewoon in veilige modus opstart bestanden te verwijderen.
Er zijn echter ook vartianten die zich diep in het OS nestelen en zelfs windows updates e.d. om zeep kunnen helpen.
In die gevallen gaan wij een klant niet met een half werkende PC naar huis sturen en zeggen van "85¤ aub, het virus is verwijderd (maar uw PC krijgt geen updates van windows meer)"
Als er dan een herinstallatie uitgevoerd moet worden is dat voor diezelfde ¤85, Backup erbij is een uurtarief van 55¤. Daar gaat wel wat meer tijd in zitten meestal. is er dan bijv. ook nog iets aan de PC kapot blijkt te zijn (HDD of RAM) dan wordt dat natuurlijk ook meegenomen in de evt. reparatiekosten. Hier wordt echter NIETS gerepareerd zonder klantaccoord.
Klachten over de prijs krijg je altijd, klanten zien alleen het eindresultaat. Wat er aan tijd heeft ingezeten om alles weer te fixen zien ze natuurlijk niet. Daarom maken wij altijd een lijst aan met de gedane werkzaamheden. Ook dan snappen ze het vaak nog niet maar kunnen ze wel zien dat er 3 of 4 pagina's met werkzaamheden zijn.
Laatst had ik weer een nieuwe versie die in 100% correct nederlands was en bijvoorbeeld de webcam activeerde zodat de klant nog meer het idee kreeg van dit is officieel. Ook was de pagina veel meer met informatie gevuld en hoge resolutie plaatjes van instanties.
Edit;
De enige manier om er zeker van te zijn dat het virus compleet verwijderd is (vooral de middenmoot aan hardnekkigheid) en voorlopig ook niet terug komt:
KAV live cd. (Haalt ook meteen alle andere meegekomen virussen eruit, een virus is meestal niet alleen, daarom is een restore ook gewoon geen oplossing)
Veilige modus opstarten
Temp files leeg gooien
Opstartlijst opschonen
Mbam draaien
Superantispyware oid
Softwarelijst nakijken en eruit knikkeren wat je er gewoon niet in wíl hebben
Normaal opstarten
Evt nog een combofix indien er GEEN SQL gedraait wordt (helpt SQL installaties om zeep)
Software lijst verder opschonen indien sommige progs niet verwijderd konden worden in safe mode
Windows updates
Java/flash/reader en evt silverlight, shockwave etc etc updaten ( virus komt eigenlijk altijd via java binnen afaik)
Dit alles na een HDD en memtest ivm evt. Foutive resultaten of vastlopers tijdens scans. Ook is het een beetje lullig als de HDD het begeeft na of zelfs tijdens de werkzaamheden. Al een keer mee gemaakt namelijk.
De een is met een KAV bootcd uit te schakelen, de ander door gewoon in veilige modus opstart bestanden te verwijderen.
Er zijn echter ook vartianten die zich diep in het OS nestelen en zelfs windows updates e.d. om zeep kunnen helpen.
In die gevallen gaan wij een klant niet met een half werkende PC naar huis sturen en zeggen van "85¤ aub, het virus is verwijderd (maar uw PC krijgt geen updates van windows meer)"
Als er dan een herinstallatie uitgevoerd moet worden is dat voor diezelfde ¤85, Backup erbij is een uurtarief van 55¤. Daar gaat wel wat meer tijd in zitten meestal. is er dan bijv. ook nog iets aan de PC kapot blijkt te zijn (HDD of RAM) dan wordt dat natuurlijk ook meegenomen in de evt. reparatiekosten. Hier wordt echter NIETS gerepareerd zonder klantaccoord.
Klachten over de prijs krijg je altijd, klanten zien alleen het eindresultaat. Wat er aan tijd heeft ingezeten om alles weer te fixen zien ze natuurlijk niet. Daarom maken wij altijd een lijst aan met de gedane werkzaamheden. Ook dan snappen ze het vaak nog niet maar kunnen ze wel zien dat er 3 of 4 pagina's met werkzaamheden zijn.
Laatst had ik weer een nieuwe versie die in 100% correct nederlands was en bijvoorbeeld de webcam activeerde zodat de klant nog meer het idee kreeg van dit is officieel. Ook was de pagina veel meer met informatie gevuld en hoge resolutie plaatjes van instanties.
Edit;
De enige manier om er zeker van te zijn dat het virus compleet verwijderd is (vooral de middenmoot aan hardnekkigheid) en voorlopig ook niet terug komt:
KAV live cd. (Haalt ook meteen alle andere meegekomen virussen eruit, een virus is meestal niet alleen, daarom is een restore ook gewoon geen oplossing)
Veilige modus opstarten
Temp files leeg gooien
Opstartlijst opschonen
Mbam draaien
Superantispyware oid
Softwarelijst nakijken en eruit knikkeren wat je er gewoon niet in wíl hebben
Normaal opstarten
Evt nog een combofix indien er GEEN SQL gedraait wordt (helpt SQL installaties om zeep)
Software lijst verder opschonen indien sommige progs niet verwijderd konden worden in safe mode
Windows updates
Java/flash/reader en evt silverlight, shockwave etc etc updaten ( virus komt eigenlijk altijd via java binnen afaik)
Dit alles na een HDD en memtest ivm evt. Foutive resultaten of vastlopers tijdens scans. Ook is het een beetje lullig als de HDD het begeeft na of zelfs tijdens de werkzaamheden. Al een keer mee gemaakt namelijk.
[Reactie gewijzigd door ScytheNL op zaterdag 24 november 2012 01:33]
mijn ervaring is dat dus de lokale policies aangepast worden, heb je dit ook ervaren?
Ben je hier nu niet het geheim van de smit aan het verklappen?
Sommige 'bedrijven' zeggen ook meteen "We zullen Windows opnieuw moeten installeren, dus uw data bent u kwijt" omdat dit het makkelijkst is.
Dat is onnodig en vreselijk vervelend.
De acties die je moet uitvoeren is dan ook niet uit te leggen voor (een gokje) 80%+ van de gedupeerden, aangezien de meeste net weten hoe ze op internet hun weg vinden en spam niet weten wat ze er mee aanmoeten (en toch nieuwsgierig zijn), laat staan de gevaren er van inzien.
Dan ben je blij dat je zo nog iets kan laten doen.
Dat is onnodig en vreselijk vervelend.
De acties die je moet uitvoeren is dan ook niet uit te leggen voor (een gokje) 80%+ van de gedupeerden, aangezien de meeste net weten hoe ze op internet hun weg vinden en spam niet weten wat ze er mee aanmoeten (en toch nieuwsgierig zijn), laat staan de gevaren er van inzien.
Dan ben je blij dat je zo nog iets kan laten doen.
Als je zelf zo'n toko runt werk je ook uurtje-factuurtje.
Een image maken van de bestaande HDD, en de gebruiker hier documenten uit laten vissen, en een volledige herinstallatie doe ik voor 50 euro.
Bij het repareren van een geinfecteerde installatie laat ik gewoon de klok tikken voor een tientje per kwartier. De kassa moet blijven rinkelen en de schoorsteen moet blijven roken.
Een image maken van de bestaande HDD, en de gebruiker hier documenten uit laten vissen, en een volledige herinstallatie doe ik voor 50 euro.
Bij het repareren van een geinfecteerde installatie laat ik gewoon de klok tikken voor een tientje per kwartier. De kassa moet blijven rinkelen en de schoorsteen moet blijven roken.
Same here, maar ik zet meestal de documenten dan op DVD's voor de klanten.
Edit:
@MxD: Wel wat meer hoor, ik zorg er meestal wel voor dat hun computer weer in oude staat is (updates en programma's).
Zelfs de oude documenten ed. zet ik weer terug, maar met een backup op DVD die ze erbij krijgen. Effectief zou het denk ik 30 minuten werk zijn, maar omdat het grotendeels wachten is ben ik wel wat meer tijd kwijt.
Meestal doe ik dit soort dingen op me gemak in een avondje, naast mijn gewone computer gebruik.
Edit:
@MxD: Wel wat meer hoor, ik zorg er meestal wel voor dat hun computer weer in oude staat is (updates en programma's).
Zelfs de oude documenten ed. zet ik weer terug, maar met een backup op DVD die ze erbij krijgen. Effectief zou het denk ik 30 minuten werk zijn, maar omdat het grotendeels wachten is ben ik wel wat meer tijd kwijt.
Meestal doe ik dit soort dingen op me gemak in een avondje, naast mijn gewone computer gebruik.
[Reactie gewijzigd door BabyXL op vrijdag 23 november 2012 15:53]
10 euro per kwartier valt nog mee. Mijn oma zou 75!! euro betalen voor een backup van een schijf waar hooguit 3 gb aan data opstond (het was nog een computer met windows me)
btw, hoelang ben je aan het werk met dat image en herinstallatie? Effectief 10 minuten, gewoon bij weglopen en andere dingen doen en af en toe, als windows/image prog, er om vraagt op "volgende" en "Ok" klikken? Easy money! (geen verwijt hoor)
btw, hoelang ben je aan het werk met dat image en herinstallatie? Effectief 10 minuten, gewoon bij weglopen en andere dingen doen en af en toe, als windows/image prog, er om vraagt op "volgende" en "Ok" klikken? Easy money! (geen verwijt hoor)
Sterker nog; je doet dan gewoon meerdere machines tegelijkertijd...btw, hoelang ben je aan het werk met dat image en herinstallatie? Effectief 10 minuten, gewoon bij weglopen en andere dingen doen en af en toe, als windows/image prog, er om vraagt op "volgende" en "Ok" klikken? Easy money! (geen verwijt hoor)
Een Windows installatie is volledig te automatiseren, hoef je dus niet eens meer op Volgende, OK en noem alle alternatieven maar op, voor te klikken.
...zouden dat soort bedrijven ook meteen mogen oplappen....stelletje prutsers.
Tenzij die geupdate is, werkte die voor mij niet. Heb een andere tool gebruikt (in veilige modus, als ik mij goed herinner), en die kreeg het wel voor mekaar.
Weet alleen niet meer zo 1-2-3 welke dat was.
Weet alleen niet meer zo 1-2-3 welke dat was.
De vraag blijft hoe krijg je die shit op je pc als je niets illegaals download? Die virussen zitten bijna altijd op van die vage websites waar je eigenlijk niet hoort te komen.
Zeker als tweaker zijnde zou je toch beter moeten weten wat je waar vandaan moet halen.
Zeker als tweaker zijnde zou je toch beter moeten weten wat je waar vandaan moet halen.
Je bedoelt websites zoals nu.nl, nrc.nl, weeronline.nl, detelegraaf.nl et cetera? Dat zijn voorbeelden van websites die namelijk onder andere 'geïnfecteerd' zijn geweest.
ik heb dit virus ook gehad, echter ik heb deze wel met succes kunnen verwijderen,
ik heb gebruik gemaakt van de kaspersky rescuedisk 10. Deze werkt met een linux omgeving.
http://www.winportal.nl/kaspersky-rescue-disk
Het is mogelijk om te gaan scannen maar dit resulteert niet altijd,
Het is beter zelf via de explorer naar verdachte bestanden te gaan zoeken.
Bij mij had het virus een rare naam in de Temp en Appdata folder, deze had als icoontje een porche logo. Aangezien ik verder niets met porche heb kon ik ervan uitgaan dat die map besmet was.
Na het verwijderen van de inhoud van die map en nadat ik de map Temp had leeggehaald was het virus verdwenen. en kon ik windows weer benaderen op de gebruikelijke manier.
ik heb gebruik gemaakt van de kaspersky rescuedisk 10. Deze werkt met een linux omgeving.
http://www.winportal.nl/kaspersky-rescue-disk
Het is mogelijk om te gaan scannen maar dit resulteert niet altijd,
Het is beter zelf via de explorer naar verdachte bestanden te gaan zoeken.
Bij mij had het virus een rare naam in de Temp en Appdata folder, deze had als icoontje een porche logo. Aangezien ik verder niets met porche heb kon ik ervan uitgaan dat die map besmet was.
Na het verwijderen van de inhoud van die map en nadat ik de map Temp had leeggehaald was het virus verdwenen. en kon ik windows weer benaderen op de gebruikelijke manier.
is al ongedaan gemaakt door de makers ze updaten dit stevig we zien dit elke dag in de winkel maar is heel eenvoudig te verwijderen
Wij hebben op onze TD de afgelopen maanden al heel erg veel van deze infecties gezien op systemen, maar het begon al ergens aan het begin van het jaar. Wij doen altijd de verwijdering buiten Windows om met de nodige AV tools en vervolgens nog met de hand het verwijderen van register sleutels die door dit virus worden gegenereerd.
Dit werkt goed en voorkomt dat het virus zichzelf weer kan herstellen.
Overigens lijken vooral veel AVG Free gebruikers hier last van te hebben.
Overigens is het opvallend dat dit bericht nu komt, want het is dus al maanden actief en 2 maanden terug veel meer actief dan nu zo lijkt het.
Dit werkt goed en voorkomt dat het virus zichzelf weer kan herstellen.
Overigens lijken vooral veel AVG Free gebruikers hier last van te hebben.
Overigens is het opvallend dat dit bericht nu komt, want het is dus al maanden actief en 2 maanden terug veel meer actief dan nu zo lijkt het.
[Reactie gewijzigd door R0KH op vrijdag 23 november 2012 14:24]
Ik heb, in veilige modus, de computer teruggezet/hersteld naar enkele dagen eerder.............?
Werkte prima en redelijk snel.
Scans achteraf gaven geen positieve resultaten.
Mis ik wat dat velen moeite hebben het te verwijderen???
Werkte prima en redelijk snel.
Scans achteraf gaven geen positieve resultaten.
Mis ik wat dat velen moeite hebben het te verwijderen???
[Reactie gewijzigd door Teijgetje op vrijdag 23 november 2012 14:01]
Er zijn meer varianten als ik zo lees uit reacties.
Er is dus een variant dat dit dus ook niet kan.
Je moet het dan via een bootable USB stick/CD starten, zoeken naar de bestanden (meestal in Temp en appdata map) en daarna het register opschonen.
Er is dus een variant dat dit dus ook niet kan.
Je moet het dan via een bootable USB stick/CD starten, zoeken naar de bestanden (meestal in Temp en appdata map) en daarna het register opschonen.
Zelfde ervaring hier... paar maanden terug kregen we dagelijks dit soort besmette systemen binnen, de laatste tijd nog maar nauwelijks.
Heb zelf ook een klant gehad die had betaald... die was dus nog meer geld kwijt om het alsnog te verwijderen, alhoewel wij met 35 euro voor virus/malware-verwijdering zeker niet duur zijn.
Heb zelf ook een klant gehad die had betaald... die was dus nog meer geld kwijt om het alsnog te verwijderen, alhoewel wij met 35 euro voor virus/malware-verwijdering zeker niet duur zijn.
in safe mode booten, in de AppData/roaming map de EXE vervangen door een leeg tekstdocument met dezelfde naam en extensie en in msconfig bij opstarten de exe uitvinken en je bent ervan verlost.
Overigens komt het virus er door een verouderde Java-versie, waarna de kwaadaardige Java-toepassing gebruik maakt van een lek in Internet Explorer om verder te geraken dan de Java-sandbox. Slim trucje.
Update: zo werkt het in elk geval voor het "politievirus" dat de Belgische variant toont. Maar als ik me niet vergis is dat, zoals het artikel zegt, hetzelfde virus met een andere webpagina via IP-check.
Overigens komt het virus er door een verouderde Java-versie, waarna de kwaadaardige Java-toepassing gebruik maakt van een lek in Internet Explorer om verder te geraken dan de Java-sandbox. Slim trucje.
Update: zo werkt het in elk geval voor het "politievirus" dat de Belgische variant toont. Maar als ik me niet vergis is dat, zoals het artikel zegt, hetzelfde virus met een andere webpagina via IP-check.
[Reactie gewijzigd door bramvandeperre op vrijdag 23 november 2012 14:06]
Buma-Stemra virus was voor mij onverwijderbaar, en dan heb de nodige ervaring met o.a. malwarebytes via de hirens bootcd.
probleem was dat de geinfecteerde bestanden wel weg waren, maar de computer dus zover omzeep was door veranderingen die niet teruggezet werden (oa. local policies) dat ik dus voor het herinstall heb gekozen.
Systeemherstel werkt trouwens maar zelden, de spyware zorgt eerst voor een nesting in de system files (en dus de registry) van de snapshot, zodat als deze teruggezet worden, het er al weer opstaat.
Dit is 1 van de redenen dat wij hebben besloten om de systemresore in het Windows image uit te schakelen.
probleem was dat de geinfecteerde bestanden wel weg waren, maar de computer dus zover omzeep was door veranderingen die niet teruggezet werden (oa. local policies) dat ik dus voor het herinstall heb gekozen.
Systeemherstel werkt trouwens maar zelden, de spyware zorgt eerst voor een nesting in de system files (en dus de registry) van de snapshot, zodat als deze teruggezet worden, het er al weer opstaat.
Dit is 1 van de redenen dat wij hebben besloten om de systemresore in het Windows image uit te schakelen.
Download en brand de Kaspersky Rescue Disk hier
- boot vanaf die CD,
- kies voor Graphic Mode,
- In het scan scherm dat tevoorschijn komt, klik je op de grote rode diamant. Hierdoor gaat Kaspersky even updaten.
- Scannen
Heeft bij mij alle besmette PCs gecleand!
- boot vanaf die CD,
- kies voor Graphic Mode,
- In het scan scherm dat tevoorschijn komt, klik je op de grote rode diamant. Hierdoor gaat Kaspersky even updaten.
- Scannen
Heeft bij mij alle besmette PCs gecleand!
Ik heb deze malware van een aantal pc's af weten te krijgen zonder enige hulp van wat voor virusscanners oid dan ook.
Er wordt gewoon een executable in C:\Users\<Gebruiker>\AppData\Local directory of een van de subdirectories gezet. Deze wordt tijdens het opstarten opgestart (startup folder in het startmenu). Als je de computer in beveiligde modus opstart, worden extra programma's niet opgestart en is de executable gewoon te verwijderen.
Edit: Na uitgebreider lezen van de reactie, blijkt deze oplossing al eens gegeven te zijn.
Er wordt gewoon een executable in C:\Users\<Gebruiker>\AppData\Local directory of een van de subdirectories gezet. Deze wordt tijdens het opstarten opgestart (startup folder in het startmenu). Als je de computer in beveiligde modus opstart, worden extra programma's niet opgestart en is de executable gewoon te verwijderen.
Edit: Na uitgebreider lezen van de reactie, blijkt deze oplossing al eens gegeven te zijn.
[Reactie gewijzigd door p.mallegrom op vrijdag 23 november 2012 16:15]
ik heb er ook al een hoop mensen mee geholpen. Ik brand het op cd's zodanig dat moest er een aangepaste versie van uitkomen de usb-sticks niet besmet kunnen raken. Ze mogen de CD's trouwens houden zodanig dat ze anderen ook kunnen helpen of zichzelf opnieuw.
Ik ben het ook tegengekomen op de laptop van een vriend en heb het met behulp van systeemherstel kunnen verwijderen.
Misschien nu wel, maar toen ik'm had terug in de lente was het echt een ochtend hard werk om het er af te krijgen... en wat bleek? Ondanks het feit dat ik 'm uiteindelijk uitzette, verwijderde en meerdere besmette Windows bestanden uit de backup terug zette kwam ik in October achter dat de firewall en andere netwerking dingen toch nog steeds vernaggeld waren.
En dat terwijl AVG, Windows defender en andere tools helemaal *niets* mis hadden gevonden na de opruiming (dat ik min of meer met de hand moest doen omdat diezelfde tools hem niet konden wissen).
En voor mij gold ook dat ik, na enkele dagen zoeken naar oplossingen, Windows opnieuw moest installeren.
Maw. dat was echt geen geval van "draai even dit anti-virusje en het is weg".
En dat terwijl AVG, Windows defender en andere tools helemaal *niets* mis hadden gevonden na de opruiming (dat ik min of meer met de hand moest doen omdat diezelfde tools hem niet konden wissen).
En voor mij gold ook dat ik, na enkele dagen zoeken naar oplossingen, Windows opnieuw moest installeren.
Maw. dat was echt geen geval van "draai even dit anti-virusje en het is weg".
Helaas... deze troep past local policies aan, en windows defender verwijderd alleen de geinfecteerde bestanden en registry verwijzingen ernaar.
Je blijft hierdoor met een half werkende pc zitten omdat bijv. de taskmanager en display properties zijn uitgeschakeld.
overigens werkt spyware in een veelhoeks verhouding, vergeet je 1 ding weg te halen, rebuild het zichzelf.
Je blijft hierdoor met een half werkende pc zitten omdat bijv. de taskmanager en display properties zijn uitgeschakeld.
overigens werkt spyware in een veelhoeks verhouding, vergeet je 1 ding weg te halen, rebuild het zichzelf.
Hoe kreeg je de malware erop? Iets verkeerds gedownload? of via een andere weg?
Meestal via verouderde Adobe Flash / Java.
En de verkeerde websites.
Meestal is het een combinatie van een onveilige browser (IE of andere browser met plugins) en (foute) websites die malware aanbieden.
Meestal is het een combinatie van een onveilige browser (IE of andere browser met plugins) en (foute) websites die malware aanbieden.
Vaak gaat het om gerenommeerde websites die of zelf gekraakt zijn of gebruik maken van een advertentie dienst die gekraakt is. In die gevallen hoeft de gebruiker dus zelf niets verkeerd te doen (behalve een oude versie van flash/java/adobe reader te draaien).
Ik denk daarnaast dat er ook nog wel het nodige binnenkomt via cracks en patches. Veelal wordt daar tegenwoordig standaard bij gezegd dat je de waarschuwing van de virus scanner maar moet negeren omdat het 'false positives' zijn maar in veel gevallen zijn die meldingen gewoon volledig terecht.
Ik denk daarnaast dat er ook nog wel het nodige binnenkomt via cracks en patches. Veelal wordt daar tegenwoordig standaard bij gezegd dat je de waarschuwing van de virus scanner maar moet negeren omdat het 'false positives' zijn maar in veel gevallen zijn die meldingen gewoon volledig terecht.
- Pornosites
- malware sites
- torrents
in combinatie met een Java versie onder 6.2 dacht ik
- malware sites
- torrents
in combinatie met een Java versie onder 6.2 dacht ik
Ik heb dit virus gisterenochtend opgelopen bij Java versie 7.7, verwijderd met Kapersky Recue CD (Rescue CD van F-Secure hielp deze keer niet ! 
) omdat de pc niet meer in veilige modus wilde opstarten en volledig blokkeerde, daarna MBAM gedraaid (die haalde de trojan eruit), vervolgens Java geupdate naar versie 7.9 en No-Script add-on aan Firefox gekoppeld.
Alles draait nu weer prima
) omdat de pc niet meer in veilige modus wilde opstarten en volledig blokkeerde, daarna MBAM gedraaid (die haalde de trojan eruit), vervolgens Java geupdate naar versie 7.9 en No-Script add-on aan Firefox gekoppeld.Alles draait nu weer prima
Als de politie dit weet waarom pakken ze de bende niet op dan in samenwerking met de landen waar het tuig zit? Er wordt geld overgemaakt dus achterhalen zou toch mogelijk moeten zijn?
Afgaande op de screenshot werkt het met paysafecard codes. Ik weet niet hoe traceerbaar dat is, maar vast een stuk minder dan een reguliere overboeking of creditcard transactie.
Of blokkeer minstens alle betaaldiensten, licht ze in en geef ze tijd om het af te sluiten, werken ze niet mee zijn ze medeplichtig vanaf moment dat ze op de hoogte zijn gesteld. Is nota bene een EU land waar de betaling via lopen. 
de betaaldienst zelf verklaart op hun website dat het niets met die kwaadwillenden heeft.
Die paysafe card is vergelijkbaar met de Wallie kaarten die we in nederland hadden.
De betaal dienst is een engels bedrijf wat verder niets met dat virus te maken heeft.
Die paysafe card is vergelijkbaar met de Wallie kaarten die we in nederland hadden.
De betaal dienst is een engels bedrijf wat verder niets met dat virus te maken heeft.
gokje:
Omdat er nauwelijks afspraken zijn met deze 2 landen (Rusland en Oekraine) en deze landen altijd al een van de bronen was van malware?
Er kunnen ook andere redenen zijn, geen idee.
Omdat er nauwelijks afspraken zijn met deze 2 landen (Rusland en Oekraine) en deze landen altijd al een van de bronen was van malware?
Er kunnen ook andere redenen zijn, geen idee.
Follow the money..
Russische criminelen zijn lastig op te sporen. De Russische politie wil nook iet echt snel meewerken.
Ook niet door de HDD aan een ander systeem te koppelen en daarmee scannen?
Ik vind het apart dat mensen hier gewoon met open ogen, met 2 voeten tegelij in trappen...
Mocht ik een goedgelovig persoontje zijn die zich bewust is van dingen downloaden en deze melding voor echt aanzien, zou ik met zo'n melding eerst eens met oom agent gaan bellen! Een boete gaat toch altijd met een overschrijving naar het CJIB?
Ik vind het apart dat mensen hier gewoon met open ogen, met 2 voeten tegelij in trappen...
Mocht ik een goedgelovig persoontje zijn die zich bewust is van dingen downloaden en deze melding voor echt aanzien, zou ik met zo'n melding eerst eens met oom agent gaan bellen! Een boete gaat toch altijd met een overschrijving naar het CJIB?
Het gaat dan ook om bangmakerij, zoals in de tekst staat word de persoon in kwestie vaak beschuldigd van het downloaden van kinder-porno. Ik neem aan de het niet zo is, maar de mensen worden bang.
Dan word er de makkelijke uitweg geboden: direct betalen.
Ze mogen dit van mij direct achter de fishing reclame uitzenden zo dat mensen bewust worden van het feit dat de politie zo niet te werk gaat.
Het probleem is dat de het allemaal steeds beter word en echter lijkt. Goed Nederlands, officiele logo's en zo voorts.
De mails met money scams worden ook steeds beter. Ik kreeg er laats een van de FBI, goed engels en een goedlopend verhaal. Het was nogal lachwekkend om te lezen, maar er werd ook gedreigt met de IRS als niet binnen aanzienlijke tijd word gerageerd.
Dus er word al niet meer gezegd dat je geld krijgt, maar ook als het niet van jou is moet je reageren om gerechtelijke vervolging te voorkomen.
Veel mensen weten niet dat dit soort procedures nooit zo worden opgezet, en zijn bang en doen maar wat gevraagt word. (Het mail adres was een dead give-away vond ik als de rest dat al niet was).
Ik vind een percentage van 20% wat in deze politie scams trapt echt schrikbarend hoog, en ik vermoed dat een groot deel zoals meestal bij scams weer ouderen zijn die niet weten wat ze anders moeten doen.
Dan word er de makkelijke uitweg geboden: direct betalen.
Ze mogen dit van mij direct achter de fishing reclame uitzenden zo dat mensen bewust worden van het feit dat de politie zo niet te werk gaat.
Het probleem is dat de het allemaal steeds beter word en echter lijkt. Goed Nederlands, officiele logo's en zo voorts.
De mails met money scams worden ook steeds beter. Ik kreeg er laats een van de FBI, goed engels en een goedlopend verhaal. Het was nogal lachwekkend om te lezen, maar er werd ook gedreigt met de IRS als niet binnen aanzienlijke tijd word gerageerd.
Dus er word al niet meer gezegd dat je geld krijgt, maar ook als het niet van jou is moet je reageren om gerechtelijke vervolging te voorkomen.
Veel mensen weten niet dat dit soort procedures nooit zo worden opgezet, en zijn bang en doen maar wat gevraagt word. (Het mail adres was een dead give-away vond ik als de rest dat al niet was).
Ik vind een percentage van 20% wat in deze politie scams trapt echt schrikbarend hoog, en ik vermoed dat een groot deel zoals meestal bij scams weer ouderen zijn die niet weten wat ze anders moeten doen.
Alleen na betalen gebeurd er niks, je pc blijft gewoon vergrendeld, je denk toch niet dat boefjes echt doen wat ze beloven na het innen van je geld. 
als je dat zo stelt, zou een computer rijbewijs helemaal zo gek nog niet zijn..
natuurlijk is het fout om mensen op te lichten maar als je zo dom bent om er in te trappen, is het dan alsnog niet een beetje eigen schuld dikke bult,
als 2e ben ik bijv ook een voorstander van het straffen van spam-verspeiders. ook als dat mensen zijn die onderdeel uitmaken van een botnet... (had je maar een degelijke firewall en viruscanner moeten installeren)...
maar een computer gelijk stellen aan een auto, ik denk dat er maar weinig mensen zijn die het verband zullen snappen...
natuurlijk is het fout om mensen op te lichten maar als je zo dom bent om er in te trappen, is het dan alsnog niet een beetje eigen schuld dikke bult,
als 2e ben ik bijv ook een voorstander van het straffen van spam-verspeiders. ook als dat mensen zijn die onderdeel uitmaken van een botnet... (had je maar een degelijke firewall en viruscanner moeten installeren)...
maar een computer gelijk stellen aan een auto, ik denk dat er maar weinig mensen zijn die het verband zullen snappen...
Je kunt geen mensen gaan straffen die redelijkerwijs niet kunnen weten hoe ze alle lekken en gaten moeten dichten. Het is simpelweg een grote chaos, een grote gatenkaas. Als eindgebruikers gestraft gaan worden dan wil niemand nog met een dergelijk systeem werken. Wat beter programmeren, dat zou een hele stap zijn...en niet met al die pulp werken....
Ja, maar als je toch op dezelfde manier benaderd als een auto.
Je krijgt bij je rij examen niet hoe je bougies maken borstelen, kleppen moet afstellen en olie moet verversen.
Het probleem is dat het systeem een beetje verwacht dat je een para-systeembeheerder bent.
Installaties zouden completer uitgeleverd moeten worden. Als ik zie wat je krijgt als je bijvoorbeeld een kant-en-klare desktop/laptop koopt, staat het vol met allerlei shareware. Bijvoorbeeld Virusscanner die het zoveel dagen doet, Firewall die het zoveel dagen doet.
Na die aantal dagen houdt die functionaliteit op en is de gebruiker onbeschermd of moet hij op internet op zoek naar een activering of een alternatief.
Ik heb de uitzending van Zembla ook gekeken op mijn werk, omdat daar security momenteel nogal een hot topic is.
Die eerste meid die geïnterviewd werd, had een laptop gekregen zonder virusscanner.
De 2de geïnterviewden waren een jonge gozer met zijn moeder, die had een spel geprobeerd te downloaden van een site. (werd niet verteld of illegaal was of niet)
Ook werd de laptop van de eerste meid niet goed gerepareerd door een shop, dus even daarna was het weer raak. (prutsers)
De laatste was ook een meid en die was nu überhaupt bang dat er gekke dingen gebeuren als ze op internet zit. (Daar sloot de uitzending mee af)
De aflevering heette de "Onderwereld Online" en is te vinden bij uitzendinggemist.
Je krijgt bij je rij examen niet hoe je bougies maken borstelen, kleppen moet afstellen en olie moet verversen.
Het probleem is dat het systeem een beetje verwacht dat je een para-systeembeheerder bent.
Installaties zouden completer uitgeleverd moeten worden. Als ik zie wat je krijgt als je bijvoorbeeld een kant-en-klare desktop/laptop koopt, staat het vol met allerlei shareware. Bijvoorbeeld Virusscanner die het zoveel dagen doet, Firewall die het zoveel dagen doet.
Na die aantal dagen houdt die functionaliteit op en is de gebruiker onbeschermd of moet hij op internet op zoek naar een activering of een alternatief.
Ik heb de uitzending van Zembla ook gekeken op mijn werk, omdat daar security momenteel nogal een hot topic is.
Die eerste meid die geïnterviewd werd, had een laptop gekregen zonder virusscanner.
De 2de geïnterviewden waren een jonge gozer met zijn moeder, die had een spel geprobeerd te downloaden van een site. (werd niet verteld of illegaal was of niet)
Ook werd de laptop van de eerste meid niet goed gerepareerd door een shop, dus even daarna was het weer raak. (prutsers)
De laatste was ook een meid en die was nu überhaupt bang dat er gekke dingen gebeuren als ze op internet zit. (Daar sloot de uitzending mee af)
De aflevering heette de "Onderwereld Online" en is te vinden bij uitzendinggemist.
Je krijgt problemen met een virus dat registry entries aanmaakt; bij een hdd scan op een andere pc wordt de registry niet als registry gescand.
Voorbeeld: De meest irritante versies zetten zichzelf graag in HKEY_Local_Machine\Microsoft\Software\Windows\CurrentVersion\Policies\Explorer als extensie voor de Explorer.exe shell. Wat inhoudt dat elke keer als een willekeurig programma wordt geopend, het langs het virus wordt geleid. Als het virus dan via een andere pc weg is gehaald, heb je kans dat het systeem helemaal vast loopt. Omdat het bestand weg is, maar niet de registry entry.
Ik ben het eens met Saampje1460 hieronder; eerst veilige modus en Malwarebytes Anti-Malware om registry hiervan te schonen. Ik raad wel aan als extra maatregel, om tijdens het scannen van MBAM, het proces "explorer.exe" te doen crashen (control-alt-delete, taakbeheer, tab processen) om mogelijke complicaties te voorkomen. Zelfs al zit je in veilige modus. Ná het scannen wil MBAM toch opnieuw opstarten, wat ook meteen je explorer shell opnieuw opstart.
Voorbeeld: De meest irritante versies zetten zichzelf graag in HKEY_Local_Machine\Microsoft\Software\Windows\CurrentVersion\Policies\Explorer als extensie voor de Explorer.exe shell. Wat inhoudt dat elke keer als een willekeurig programma wordt geopend, het langs het virus wordt geleid. Als het virus dan via een andere pc weg is gehaald, heb je kans dat het systeem helemaal vast loopt. Omdat het bestand weg is, maar niet de registry entry.
Ik ben het eens met Saampje1460 hieronder; eerst veilige modus en Malwarebytes Anti-Malware om registry hiervan te schonen. Ik raad wel aan als extra maatregel, om tijdens het scannen van MBAM, het proces "explorer.exe" te doen crashen (control-alt-delete, taakbeheer, tab processen) om mogelijke complicaties te voorkomen. Zelfs al zit je in veilige modus. Ná het scannen wil MBAM toch opnieuw opstarten, wat ook meteen je explorer shell opnieuw opstart.
dit zal helaas niet werken, bij het initialiseren of inlezen van de schijf start dat scriptje wat aan dat virushangt ook op. het enige wat werkt is om dit via een andere omgeving dan windows te regelen, bijv. linux
start van je windows dvd en doe systeem herstel, makkelijkere manier om je registry schoon te maken en die zooi eraf te halen is er niet
Het virus zelf is niet zo moeilijk te verwijderen. In de Veilige modus kan je het virus uitschakelen in msconfig waardoor het virus niet meer automatisch mee opstart. Vervolgens kun je met Malwarebytes Anti-Malware en Anti-Rootkit het virus van je computer afhalen zonder enig probleem. Zo heb ik het virus al van verscheidene computers kunnen verwijderen.
Veilige modus werkte voor mij (Windows XP) niet. Veilige mode "command prompt only" wel.
Mogelijk OS versie (en malware versie?) afhankelijk dus.
Mogelijk OS versie (en malware versie?) afhankelijk dus.
[Reactie gewijzigd door marcovtjetje op vrijdag 23 november 2012 13:14]
Hetzelfde had ik bij een sommige infecties op windows7. Veilige mode werkte niet, tenzij "command prompt only".
De infecties die ik gezien heb zijn meestal veroorzaakt door het bezoeken van een piratebay proxy site met internet explorer, waarbij de malware aangeboden lijkt te worden door de reclames op die sites.
Verwijderen is tot nu toe altijd eenvoudig geweest met MBAM vanuit veilige modus.
Edit: Het zou handig zijn als UKash verkoop punten zouden waarschuwen voor deze ransomware, maar dat zou ze natuurlijk inkomsten kosten.
De infecties die ik gezien heb zijn meestal veroorzaakt door het bezoeken van een piratebay proxy site met internet explorer, waarbij de malware aangeboden lijkt te worden door de reclames op die sites.
Verwijderen is tot nu toe altijd eenvoudig geweest met MBAM vanuit veilige modus.
Edit: Het zou handig zijn als UKash verkoop punten zouden waarschuwen voor deze ransomware, maar dat zou ze natuurlijk inkomsten kosten.
[Reactie gewijzigd door Tvern op vrijdag 23 november 2012 13:54]
veilige modus werkte voor mij niet, ik gebruikte zelf windows 7 ultimate.
tevens was ook prof geinfecteerd. ik weet wel dat deze windows specifiek is aangezien die in een linux omgeving niet werkt.
tevens was ook prof geinfecteerd. ik weet wel dat deze windows specifiek is aangezien die in een linux omgeving niet werkt.
Het is niet altijd zo makkelijk bij ransomware. Er is verschillende malware met min of meer dezelfde strekking die niet altijd makkelijk te verwijderen zijn, zeker niet voor een leek.
Wat zet je dan uit in MS config? Explorer.exe?
Voor een 'tweaker'/ IT mannetje/hobbyist is het idd appeltje eitje en zal de melding ook bijna niet tegenkomen.Het virus zelf is niet zo moeilijk te verwijderen.
Voor degene die dit al krijgt is het meestal onwetendheid van dit soort gevaren. Probeer het maar eens uit te leggen wat ie moet doen.
Grote kans dat je een glazige blik krijgt, of een snelle 'ooooohhh'/'jaja...' en de volgende keer het nog een keer mag doen (als je het gratis hebt gedaan voor familie/vrienden.)
Goed Nederlands? De eerste zin van de derde paragraaf luidt: "Het downloaden van auteursrechtelijk beschermde liedjes via het internet of om muziek te delen netwerk is illegaal en is in overeenstemming met (prgrf) 106 van de Copyright Act met een geldboete of een gevangenisstraf van een boete van maximaal 3 jaar."
Screenshot ziet er slick uit maar goed Nederlands is het niet. Maar misschien zegt dat des te meer over het niveau van de mensen die erin trappen
. Sommige lui zijn gewoon vatbaar voor dit soort scams.
Screenshot ziet er slick uit maar goed Nederlands is het niet. Maar misschien zegt dat des te meer over het niveau van de mensen die erin trappen
. Sommige lui zijn gewoon vatbaar voor dit soort scams.
Kijkend naar het bijgevoegde plaatje is de gebruikte taal aller belabberdst en ik zou daar dus nooit intrappen (ook al was ik illegaal bezig).
een andere werkende oplossing is 'Combofix' mocht het iemand intreseren. bleeping computer is een geldige referentie. gewoon ff googelen. dit gebruik ik om pcs weer gebruikklaar te maken bij mn buren en kennissen, heeft altijd al gewerkt; als je tenminste in safe mode geraakt.
cheers
cheers
Mijn broer had deze melding ook. Heb het op deze manier opgelost :
- Computer opstarten (F8) : Windows starten met opdrachtprompt
- Als Windows is gestart typ je in de console "regedit"
- Blader naar deze locaties :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
- Kijk of hier ongebruikelijke zaken instaan. Schrijf de bestandslocatie(s) hiervan op.
- Gebruik de console om naar de betreffende map te dirigeren en verwijder het betreffende bestand (kan ook met wildcards, bijvoorbeeld *.exe)
- Verwijder vervolgens de vermeldingen in het Windows Register.
- Start computer normaal op
- Doe voor de zekerheid een virusscan m.b.v. TrendMicro Housecall
Bij mijn broer stond er een of andere wazige file in een van de TEMP mappen van Windows. Het Windows register gaf dit handig aan welk bestand dit was. Nadat ik de bovenstaande procedure heb doorgevoerd was het systeem weer normaal te gebruiken.
- Computer opstarten (F8) : Windows starten met opdrachtprompt
- Als Windows is gestart typ je in de console "regedit"
- Blader naar deze locaties :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
- Kijk of hier ongebruikelijke zaken instaan. Schrijf de bestandslocatie(s) hiervan op.
- Gebruik de console om naar de betreffende map te dirigeren en verwijder het betreffende bestand (kan ook met wildcards, bijvoorbeeld *.exe)
- Verwijder vervolgens de vermeldingen in het Windows Register.
- Start computer normaal op
- Doe voor de zekerheid een virusscan m.b.v. TrendMicro Housecall
Bij mijn broer stond er een of andere wazige file in een van de TEMP mappen van Windows. Het Windows register gaf dit handig aan welk bestand dit was. Nadat ik de bovenstaande procedure heb doorgevoerd was het systeem weer normaal te gebruiken.
Ik fix bijna dagelijks computers van klanten met dit probleem, echter heb ik nog nooit windows opnieuw hoeven te installeren. Meestal kom je met een simpele veilige modus er al omheen.
Bij mij is het gelukt door op te starten in safe mode.
Goed Nederlands? Hopelijk heb je dan een andere mail gekregen dan die in de schermafdruk staat afgebeeld, want nog voor ik de eerste zin uit had gelezen lag ik al op m'n snufferd door de taalfouten.
"Illegaal gedownloade muziek stukken" = muziekstukken. "gelegen op de computer". Wablief? Gelegen? Dat gebruikt niemand. "Met het downloaden de liedjes zijn gekopieerd". Eerst zijn het muziekstukken en nu liedjes? Bovendien slaat de zin nergens op. "zodat kan ook een strafbaar feit". No comment. Volgens mij gebruikt de politie ook artikels en geen secties (§).
De eerste zin uit de volgende paragraaf begint aardig, tot we op de tweede regel komen en er geen zak meer van klopt. De Auteurswet verandert daarna opeens in een Copyright Act. "De" eigendom is nog altijd "Het" eigendom. De zin om de dikgedrukte tekst heen klopt voor geen meter en ze sluiten nog eens af met een komma op de verkeerde plek.
Zo ben ik krap halverwege en schort er al zo enorm veel aan de tekst dat het overduidelijk om een slecht vertaald stuk gaat. Door het gebruik van wat officiële logo's wordt het nog wat leuk aangekleed, maar een drol met een strikje blijft een drol. Als je hier intrapt kun je zelf geen Nederlands of geef je graag geld weg.
"Illegaal gedownloade muziek stukken" = muziekstukken. "gelegen op de computer". Wablief? Gelegen? Dat gebruikt niemand. "Met het downloaden de liedjes zijn gekopieerd". Eerst zijn het muziekstukken en nu liedjes? Bovendien slaat de zin nergens op. "zodat kan ook een strafbaar feit". No comment. Volgens mij gebruikt de politie ook artikels en geen secties (§).
De eerste zin uit de volgende paragraaf begint aardig, tot we op de tweede regel komen en er geen zak meer van klopt. De Auteurswet verandert daarna opeens in een Copyright Act. "De" eigendom is nog altijd "Het" eigendom. De zin om de dikgedrukte tekst heen klopt voor geen meter en ze sluiten nog eens af met een komma op de verkeerde plek.
Zo ben ik krap halverwege en schort er al zo enorm veel aan de tekst dat het overduidelijk om een slecht vertaald stuk gaat. Door het gebruik van wat officiële logo's wordt het nog wat leuk aangekleed, maar een drol met een strikje blijft een drol. Als je hier intrapt kun je zelf geen Nederlands of geef je graag geld weg.
zijn genoeg tutorials te vinden ervoor, maarja.. zoek die maar eens als je enigste pc gegijzeld is..
desondanks heb ik 't al voor verschillende mensen moeten verwijderen, is vrij simpel te doen...
desondanks heb ik 't al voor verschillende mensen moeten verwijderen, is vrij simpel te doen...
Je kan ook Hitman Pro proberen. Die werkt ook effectief hier tegen.
Heb het virus ook gehad. Is vrij lastig te verwijderen inderdaad als je geen gebruik maakt van restorepunten. Proces killen en rebooten heeft geen nut. Denk je dat je het geinfecteerde bestand hebt verwijderd? Niet dus...
Opstarten in Safe modus en dan ff restoren naar een vorig opslagpunt. Klaar
PS. Zo goed was dat nederlands nou ook weer niet trouwens
Opstarten in Safe modus en dan ff restoren naar een vorig opslagpunt. Klaar
PS. Zo goed was dat nederlands nou ook weer niet trouwens
Ik kon deze relatief makkelijk verwijderen.safe mode opstarten en verdachte.exe verwijderen uit app data.
Heb het onschadelijk gemaakt met een veiige mode boot. En dan idd een herstelpunt herstellen.
Schoonmaken en/of onschadelijk maken kan ook.
Volgens mij is er ook nog een toetsenbord combo (shift-shift? of ctrl-ctrl?) die ervoor zorgt dat Windows onder al die run apps gestart word.
ps: Is dit geen optie om het makkelijk en snel om zeep te helpen ?
http://www.ebay.nl/itm/c-...n&hash=item230dcd0403
Schoonmaken en/of onschadelijk maken kan ook.
Volgens mij is er ook nog een toetsenbord combo (shift-shift? of ctrl-ctrl?) die ervoor zorgt dat Windows onder al die run apps gestart word.
ps: Is dit geen optie om het makkelijk en snel om zeep te helpen ?
http://www.ebay.nl/itm/c-...n&hash=item230dcd0403
[Reactie gewijzigd door Madrox op vrijdag 23 november 2012 22:17]
In veilige modus opstarten werkt 9 van de 10 keer wel, vervolgens kun je Combofix draaien en is het virus weg.
Ook start de PC soms wel op zonder melding als je de netwerkkabel uit de PC haalt (of draadloze adapter uitschakelt) en kun je hem dan scannen.
Ook start de PC soms wel op zonder melding als je de netwerkkabel uit de PC haalt (of draadloze adapter uitschakelt) en kun je hem dan scannen.
Ik had het Buma Stemra virus. Je kunt tijdens het opstarten via control-alt-delete naar de task manager komen, en dan even kijken naar een verdacht serviceje/opstart-item, en dat vervolgens uitvinken. Dan kun je weer bij je comp. Als je te laat bent gewoon nog een keer opstarten. Het helpt wel als je comp een beetje traag opstart, de mijn doet er minuten over grrrJe moet nog wat dingen herstellen als ik me goed herinner, maar al met al is het 3 minuten werk.
Het virus is makkelijk te verwijderen met de F-Secure Rescue CD of vergelijkbare software.
In de lijst van start-up programs staat het bestand ook vermeld. Het is te herkennen aan de 'vage' naam en de locatie van het bestand welke altijd in de AppData folder staat.
Normaal starten programma's, m.u.v. Google en HP dingen, niet op vanuit de AppData folder.
Overigens toont het virus zich niet zolang er geen verbinding is met internet.
In de lijst van start-up programs staat het bestand ook vermeld. Het is te herkennen aan de 'vage' naam en de locatie van het bestand welke altijd in de AppData folder staat.
Normaal starten programma's, m.u.v. Google en HP dingen, niet op vanuit de AppData folder.
Overigens toont het virus zich niet zolang er geen verbinding is met internet.
Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.
Wat voor virusscanner/browser gebruikte je vrouw toen? Dan gebruik ik die in ieder geval niet.
[Reactie gewijzigd door intGod op vrijdag 23 november 2012 13:05]
ik gebruik internet explorer 9, nod32 en windows firewall.. maar ik verwacht dat ze op die website gewoon een plugin heeft geinstalleerd om een filmpje te kunnen kijken ofzo
Misschien toch maar eens inloggen als gewone gebruiker inplaats van administrator ?
dan nog zou nod32 hebebn moeten ingrijpen...
of het ding was uitgezet, niet up to date????
of het ding was uitgezet, niet up to date????
Ik heb al een heleboel klanten gehad welke het KLPD virus op hun computer hebben gehad. Daarbij ben ik eigenlijk elke gangbare virusscanner tegen gekomen, zowel de gratis al betaalde versies.
O.a. AVG, Avira, Security Essentials, Bullguard, Norton, NOD32 etc.
O.a. AVG, Avira, Security Essentials, Bullguard, Norton, NOD32 etc.
Tja gewoon windows overnieuw instaleren is natuurlijk de best virus verwijderaar. Kom kom, minuutje op het internet en je weet hoe je dit kan verwijderen, je bent een tweaker or je bent het niet.Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.
En meteen al je data kwijt (documenten, vakantiefoto's e.d.) als je die er op hebt staan.Gewoon windows opnieuw installeren en je zit weer goed.
Met een backup had dat probleem niet bestaan ;-)
Ook gehad starte pc opnieuw op en het was weer weg erg vervelend deze dingen.
Bij ons was dat niet zo. Na herstarten kreeg je alleen het bovenstaande scherm in beeld en verder kon je niks
Same, echter andere modussen zoals veilige modus met /zonder netwerk mogelijkheden werkten ook niet.
het is wel mogelijk om dit er weer af te krijgen, echter neemt dit tijd en ellende in..
Als je weet wat je doet; hooguit 20 minuten.
Dankjewel tweakers voor het leesbare High-res plaatje
Via Google vind je zo een grotere afbeelding :
http://tinyurl.com/politievirus
Ik zelf heb een computer winkel, wij krijgen wekelijks ook meerdere laptop's en computers binnen met het 'politie virus'. Nu moet ik zeggen dat er de laatste tijd een afname is en dat we nu nog meer een enkele gebruiker binnen krijgen met het virus.
Het lijkt er toch op dat anti-malware en virus scanners ze tegenhouden via webprotectie. Tijd geleden was er ook een vertegenwoordiger van Panda Antivirus op bezoek bij ons. Ze vertelde dat er ook een paar duizend varianten van dit type. Zo heb je er ook bijvoorbeeld 1 die je webcam activeert en vervolgens aangeeft dat het word opgenomen.
Al met al is het gewoon heel erg smerig virus, vaak oudere mensen die per ongeluk ergens op hebben geklikt betalen de boete gewoon. Veel klanten van ons nemen ook meteen contact op met de politie en komen er al snel achter dat het gewoon oplichting is.
edit : Wat mij ook zelf opvalt is dat bijna alle besmette pc's meldingen hebben dat java of adobe flash out of date is. Eerder zag ik ook al een artikel dat hier vaak de besmetting doorheen komt, houd dus allen dat soort programma's up to date! Filehippo heeft daar een goede programma voor : http://filehippo.com/updatechecker/
http://tinyurl.com/politievirus
Ik zelf heb een computer winkel, wij krijgen wekelijks ook meerdere laptop's en computers binnen met het 'politie virus'. Nu moet ik zeggen dat er de laatste tijd een afname is en dat we nu nog meer een enkele gebruiker binnen krijgen met het virus.
Het lijkt er toch op dat anti-malware en virus scanners ze tegenhouden via webprotectie. Tijd geleden was er ook een vertegenwoordiger van Panda Antivirus op bezoek bij ons. Ze vertelde dat er ook een paar duizend varianten van dit type. Zo heb je er ook bijvoorbeeld 1 die je webcam activeert en vervolgens aangeeft dat het word opgenomen.
Al met al is het gewoon heel erg smerig virus, vaak oudere mensen die per ongeluk ergens op hebben geklikt betalen de boete gewoon. Veel klanten van ons nemen ook meteen contact op met de politie en komen er al snel achter dat het gewoon oplichting is.
edit : Wat mij ook zelf opvalt is dat bijna alle besmette pc's meldingen hebben dat java of adobe flash out of date is. Eerder zag ik ook al een artikel dat hier vaak de besmetting doorheen komt, houd dus allen dat soort programma's up to date! Filehippo heeft daar een goede programma voor : http://filehippo.com/updatechecker/
[Reactie gewijzigd door egelalexander op vrijdag 23 november 2012 14:20]
Ik deel dezelfde ervaring.
Meestal staat er op de PC een oudere versie van Java (versie 6). Bij computers met Java 7 ben ik het KLPD virus nog niet tegen gekomen.
Meestal staat er op de PC een oudere versie van Java (versie 6). Bij computers met Java 7 ben ik het KLPD virus nog niet tegen gekomen.
En je wil in detail lezen wat er op staat omdat.... ?
Anders bezoek je gewoon even een louche site, kan je het gewoon live meemaken
Anders bezoek je gewoon even een louche site, kan je het gewoon live meemaken
offtopic:
Met Tineye kan je afbeelding zoeken op andere sites. in hogere resolutie: http://www.abuse.ch/wp-content/uploads/ransomware_nl.jpg .
ontopic:
hier in de organisatie ben ik hem ook al een paar keer tegen gekomen desondanks we wel alle updates hadden (java / flash).
even booten in safe mode, uitschakelen in msconfig, programma Rkill laten lopen en scannen met anti-malwarebytes en dan is het meestal al opgelost.
Met Tineye kan je afbeelding zoeken op andere sites. in hogere resolutie: http://www.abuse.ch/wp-content/uploads/ransomware_nl.jpg .
ontopic:
hier in de organisatie ben ik hem ook al een paar keer tegen gekomen desondanks we wel alle updates hadden (java / flash).
even booten in safe mode, uitschakelen in msconfig, programma Rkill laten lopen en scannen met anti-malwarebytes en dan is het meestal al opgelost.
[Reactie gewijzigd door thomasjuuu op vrijdag 23 november 2012 13:38]
Misschien logisch maar als er een tekst in staat zonder spelfouten dan is de kans groot dat ook Nederlandse criminelen meedoen aan dit soort dingen.
Heb je de tekst in de screenshot gelezen? Een spellcheck zal er waarschijnlijk geen fouten in vinden maar het is verre van foutloos nederlands hoor. Ik kan er dan ook echt niet bij dat 20% van de slachtoffers hier in zou trappen, vraag me af of dat wel correct kan zijn.
20% van de mensen praat misschien zelf niet zo goed nederlands of is dyslectisch dusja ik snap dat wel
of raakt in paniek en zien dit als een eenmalige uitweg, vooral als je een enkele keer een album ooit gedownload hebt of laten doen.
Zouden er ook echt mensen naar de "verkooppunten" gaan en om zon code vragen?
Jazeker! Bij mij om de hoek is een Texaco waar ze bij de kassa een printje hebben hangen met een screenshot van het "politie virus" en de melding dat ze die ¤100 beter niet kunnen uitgeven. Mijn visitekaartjes heb ik erbij mogen leggen. Ik stond ervan te kijken hoeveel klanten dat heeft opgeleverd.
Hehe deze had mijn buurman laatst ook, makkelijk verwijderd via Safe mode Even Temp folder leeggooien en registry entries weggooien en natuurlijk een virusscan. Draait weer als een zonnetje.
Ik kan mijn voorstellen dat mensen hier intrappen, het ziet er ook professioneel uit. Een oud collega is hier wel al 2x ingetrapt (2x 50 euro door de plee).
Even Temp folder leeggooien en registry entries weggooien en natuurlijk een virusscan. Draait weer als een zonnetje. Ik kan mijn voorstellen dat mensen hier intrappen, het ziet er ook professioneel uit. Een oud collega is hier wel al 2x ingetrapt (2x 50 euro door de plee).
Eergister kreeg een vriendin van mij dit ook. Ze had een email ontvangen over kortingen bij aanschaf van schoenen. In deze mail stond een link naar een site. Op het moment dat ze op de site was blokkeerde de computer en kreeg ze de melding uit het nieuwsbericht.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
